操作主机角色
1  林范围内:
    架构主机
    域命名主机
2    域范围内:
    域控制器仿真主机
   相对ID主机
    基础结构主机
3 添加架构主机管理工具
架构主机的管理工具不是默认安装的工具,添加架构主机管理工具:
先在运行中输入regsvr32 schmmgmt.dll  
schmmgmt.dll 的全路径为 regsvr32%systemroot%/system32/schmmgmt.dll
运行"MMC",文件---添加/删除管理单元.
单击"添加",选择"Active Diectory 架构"
4  架构的内容是活动目录对象的类别和属性
5  域命名主机控制林中域的添加或删除,可以防止林中的域名重复,在整个林中只能有一个域命名主机.
任何运行Windows Server 2003 的域控制器都可以担当域命名主机这一角色,如果运行Windows Server 2003 的域控制器
担当域命名主机角色,则必须启用为全局编录服务器.
6  PDC仿真主机(PDC  Emulator  Master)
PDC仿真主机作为混合模式域中的Windows NT PDC.林中的每个域中只能有一个PDC仿真主机
7  PDC仿真主机的主要作用:
管理来自客户端(Windows NT/95/98)的密码更改
最小化密码变化的复制等待时间,
在默认情况下,PDC仿真主机还负责同步整个域内所有域控制器上的时间.

8  RID主机
RID主机将相对ID序列分配给域中的每个域控制器,林中的每个域中只能有一个RID主机
对象ID=域ID+RID
9 基础结构主机
基础结构主机负责更新从它所在的域中的对象到其他域中对象的引用,每个域中只能有一个基础结构主机
10  基础结构主机将其数据与全局编录进行比较,全局编录通过复制操作接收所有域中对象的定期更新,从而使全局编录
的数据始终保持最新,如果基础结构主机发现数据已过时,则它会从全局编录请求更新的数据,然后,基础结构主机再将这些更新的数据
复制到域中的其他域控制器

11  使用基础结构主机的要点如下:
除非域中只有一个域控制器,否则不应将基础结构主机角色指派给全局编录所在的域控制器,如果基础结构主机和全局编录处于相同的
域控制器中,则基础结构主机不会运行,基础结构主机从不查看过时的数据,也从不将任何更改复制到域中的其他域控制器.
12  如果域中的所有域控制器都存在有全局编录,则所有域控制器都将拥有最新数据,因而无论哪个域控制器承担基础结构主机角色均不重要
13  基础结构主机还负责在重命名或更改组成员时更新"组到用户"的引用,当重命名或移动组成员(并且该成员驻留在组中的不同域中)时,组中可能暂时不显示
该成员,组所属的域的基础结构主机负责组的更新工作,所以它知道成员的新名称或位置,这样当重命名或删除用户账户时,就可防止与该账户相关的组成员的身份丢失.
14 非授权还原
非授权还原可以恢复到活动目录到它备份时的状态,执行非授权还原后,有如下两种情况
1>如果域中只有一个域控制器,在备份之后的任何修改都将丢失.例如,备份后添加了一个OU,则执行还原后,新添加的OU不存在
2>如果域中有多个域控制器,则恢复已有的备份并从其他域控制器复制活动目录对象的当前状态,例如,备份后添加了一个OU,则执行还原后,
新添加的OU会从其他域控制器上复制过来,因此该OU存在,如果备份后删除了一个OU,则执行还原后也不会恢复该OU,因为该OU的删除状态会从其他的域控制器上复制过来
占用操作主机角色
1  此种情况为域控制器都可用的情况下分解域控制器的负担.
C:\Documents and Settings\administrator.IBM>ntdsutil
ntdsutil: roles
fsmo maintenance: connection
server connections: connect to server vm01.ibm.com
绑定到 vm01.ibm.com ...
用本登录的用户的凭证连接 vm01.ibm.com。
server connections: quit
fsmo maintenance: ?
?                             - 显示这个帮助信息
Connections                   - 连接到一个特定域控制器
Help                          - 显示这个帮助信息
Quit                          - 返回到上一个菜单
Seize domain naming master    - 在已连接的服务器上覆盖域角色
Seize infrastructure master   - 在已连接的服务器上覆盖结构角色
Seize PDC                     - 在已连接的服务器上覆盖 PDC 角色
Seize RID master              - 在已连接的服务器上覆盖 RID 角色
Seize schema master           - 在已连接的服务器上覆盖架构角色
Select operation target       - 选择的站点，服务器，域，角色和命名上下文
Transfer domain naming master - 将已连接的服务器定为域命名主机
Transfer infrastructure master - 将已连接的服务器定为结构主机
Transfer PDC                  - 将已连接的服务器定为 PDC
Transfer RID master           - 将已连接的服务器定为 RID 主机
Transfer schema master        - 将已连接的服务器定为架构主机
fsmo maintenance: transfer pdc
服务器 "vm01.ibm.com" 知道有关 5 作用
架构 - CN=NTDS Settings,CN=VM02,CN=Servers,CN=Default-First-Site-Name,CN=Sit
N=Configuration,DC=IBM,DC=com
域 - CN=NTDS Settings,CN=VM01,CN=Servers,CN=Default-First-Site-Name,CN=Sites
Configuration,DC=IBM,DC=com
PDC - CN=NTDS Settings,CN=VM01,CN=Servers,CN=Default-First-Site-Name,CN=Site
=Configuration,DC=IBM,DC=com
RID - CN=NTDS Settings,CN=VM01,CN=Servers,CN=Default-First-Site-Name,CN=Site
=Configuration,DC=IBM,DC=com
结构 - CN=NTDS Settings,CN=VM02,CN=Servers,CN=Default-First-Site-Name,CN=Sit
N=Configuration,DC=IBM,DC=com
fsmo maintenance: quit
ntdsutil: quit
从 vm01.ibm.com 断开...
C:\Documents and Settings\administrator.IBM>

2 此种情况是有一台域控制器不可用了,需要将操作主机角色转移出来, 是强占式的
C:\Documents and Settings\administrator.IBM>ntdsutil
ntdsutil: roles
fsmo maintenance: connection
server connections: connect to server vm01.ibm.com    连接的主机为目录主机.
绑定到 vm01.ibm.com ...
用本登录的用户的凭证连接 vm01.ibm.com。
server connections: quit
fsmo maintenance: ?
?                             - 显示这个帮助信息
Connections                   - 连接到一个特定域控制器
Help                          - 显示这个帮助信息
Quit                          - 返回到上一个菜单
Seize domain naming master    - 在已连接的服务器上覆盖域角色
Seize infrastructure master   - 在已连接的服务器上覆盖结构角色
Seize PDC                     - 在已连接的服务器上覆盖 PDC 角色
Seize RID master              - 在已连接的服务器上覆盖 RID 角色
Seize schema master           - 在已连接的服务器上覆盖架构角色
Select operation target       - 选择的站点，服务器，域，角色和命名上下文
Transfer domain naming master - 将已连接的服务器定为域命名主机
Transfer infrastructure master - 将已连接的服务器定为结构主机
Transfer PDC                  - 将已连接的服务器定为 PDC
Transfer RID master           - 将已连接的服务器定为 RID 主机
Transfer schema master        - 将已连接的服务器定为架构主机
fsmo maintenance: seize infrastructure master
在索取之前尝试安全传送 infrastructure FSMO。
ldap_modify_sW 错误 0x34(52 (不可用).
Ldap 扩展的错误消息为 000020AF: SvcErr: DSID-03210312, problem 5002 (UNAVAILABLE
), data 1722
返回的 Win32 错误为 0x20af(请求的 FSMO 操作失败。不能连接当前的 FSMO 盒。)
)
根据错误代码这可能表示连接
ldap, 或角色传送错误。
infrastructure FSMO 的传送失败，用索取继续 ...
服务器 "vm01.ibm.com" 知道有关 5 作用
架构 - CN=NTDS Settings,CN=VM02,CN=Servers,CN=Default-First-Site-Name,CN=Sites,C
N=Configuration,DC=IBM,DC=com
域 - CN=NTDS Settings,CN=VM01,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=
Configuration,DC=IBM,DC=com
PDC - CN=NTDS Settings,CN=VM01,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN
=Configuration,DC=IBM,DC=com
RID - CN=NTDS Settings,CN=VM01,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN
=Configuration,DC=IBM,DC=com
结构 - CN=NTDS Settings,CN=VM01,CN=Servers,CN=Default-First-Site-Name,CN=Sites,C
N=Configuration,DC=IBM,DC=com
fsmo maintenance: quit
ntdsutil: quit
从 vm01.ibm.com 断开...
C:\Documents and Settings\administrator.IBM>

授权还原
在目录还原模式下进行域控的还原后,不重启机器,进入命令行,恢复指定的删除内容.
C:\Documents and Settings\Administrator>ntdsutil
ntdsutil: authoritative restore
authoritative restore: restore subtree "ou=qq,dc=ibm,dc=com"     //authoritative restore: restore object "cn=name,ou=xxx,dc=xxx,dc=xxx"还原某个具体的用户.
正在打开 DIT 数据库... 完成现在时间是 03-08-08 16:36.24。
最近的数据库更新发生在 03-08-08 15:46.52。
增加属性版本号 100000。
计算需要更新的记录...
找到的记录: 0000000002
完成
找到 2 要更新的记录。
更新记录...
所剩记录: 0000000000
完成
成功的更新了 2 个记录。
已经在当前工作目录创建了下列带权威性地还原的对象列表的文本文件:
        ar_20080308-163624_objects.txt
指定的对象中没有一个包含这个域中的返回链接。没有创建链接还原文件。
Authoritative Restore 成功完成。
authoritative restore:quit
ntdsutil: quit

更改活动目录还原模式密码
C:\Documents and Settings\administrator.IBM>ntdsutil
ntdsutil: ?
?                             - 显示这个帮助信息
Authoritative restore         - 授权还原 DIT 数据库
Configurable Settings         - 管理可配置的设置
Domain management             - 准备新域创建
Files                         - 管理 NTDS 数据库文件
Help                          - 显示这个帮助信息
LDAP policies                 - 管理 LDAP 协议策略
Metadata cleanup              - 清理不使用的服务器的对象
Popups %s                     - 用“on”或“off”启用或禁用弹出
Quit                          - 退出实用工具
Roles                         - 管理 NTDS 角色所有者令牌
Security account management   - 管理安全帐户数据库 - 复制 SID 清理
Semantic database analysis    - 语法检查器
Set DSRM Password             - 重置目录服务还原模式管理员帐户密码

ntdsutil: set dsrm password
重置 DSRM 管理员密码: ?
?                             - 显示这个帮助信息
Help                          - 显示这个帮助信息
Quit                          - 返回到上一个菜单
Reset Password on server %s   - 在指定域控制器上重置目录服务还原模式管理员帐户
密码。本地计算机使用 NULL。
注意: 如果目标域控制器当前处于目录服务还原模式，您不能使用 ntdsutil 重置此密码。

重置 DSRM 管理员密码: reset password on server vm01.ibm.com
请键入 DS 还原模式管理员帐户的密码: ********
请确认新密码: ********
密码设置成功。
重置 DSRM 管理员密码: quit
ntdsutil: quit